Ve výchozím nastavení jsou relace služby Vzdálená plocha konfigurovány tak, aby vyjednaly úroveň šifrování od klienta na server Hostitel relací VP. Zabezpečení relací služby Vzdálená plocha můžete zvýšit pomocí protokolu TLS (Transport Layer Security) 1.0. Protokol TLS 1.0 ověří identitu serveru Hostitel relací VP a zašifruje veškerou komunikaci mezi serverem Hostitel relací VP a klientským počítačem. Server Hostitel relací VP a klientský počítač musí být pro protokol TLS správně nakonfigurovány, aby poskytovaly vyšší zabezpečení.

Poznámka

Další informace o hostiteli relace VP naleznete na stránce Vzdálená plocha na webu TechCenter pro systém Windows Server 2008 R2 (https://go.microsoft.com/fwlink/?LinkId=140438 (stránka může být v angličtině)).

K dispozici jsou tři vrstvy zabezpečení.

Vrstva zabezpečení Popis

SSL (TLS 1.0)

Zabezpečení SSL (TLS 1.0) bude použito pro ověřování serveru a pro šifrování všech dat přenesených mezi serverem a klientem.

Vyjednat

Jedná se o výchozí nastavení.

Bude použita nejzabezpečenější vrstva podporovaná klientem. Bude použit protokol SSL (TLS 1.0) (pokud je podporován). Pokud klient nepodporuje protokol SSL (TLS 1.0), bude použita vrstva zabezpečení RDP.

Vrstva zabezpečení RDP

Komunikace mezi serverem a klientem bude používat nativní šifrování RDP. Pokud vyberete vrstvu zabezpečení RDP, nelze používat ověřování na úrovni sítě.

Je vyžadován certifikát k ověření identity serveru Hostitel relací VP a zašifrování komunikace mezi službou Hostitel relací VP a klientem, aby bylo možné použít vrstvu zabezpečení TLS 1.0. Můžete vybrat certifikát, který jste nainstalovali na serveru Hostitel relací VP, nebo můžete použít certifikát podepsaný svým držitelem.

Upozornění

Doporučujeme získat a nainstalovat certifikát vystavený jednou z důvěryhodných veřejných certifikačních autorit, které se účastní programu Microsoft Root Certificate Program.

Ve výchozím nastavení jsou připojení služby Vzdálená plocha šifrována na nejvyšší dostupné úrovni zabezpečení. Některé starší verze klienta Připojení ke vzdálené ploše takto vysokou úroveň šifrování nepodporují. Pokud vaše síť takové starší klienty obsahuje, můžete nastavit úroveň šifrování připojení pro odesílání a příjem dat na nejvyšší úrovni šifrování podporované klientem.

K dispozici jsou čtyři úrovně šifrování.

Úroveň šifrování Popis

Kompatibilní se standardem FIPS

Tato úroveň šifruje a dešifruje data odesílaná z klienta na server a ze serveru do klienta pomocí metod šifrování ověřovaných pomocí standardu FIPS (Federal Information Processing Standard) 140-1. Klienti, kteří nepodporují tuto úroveň šifrování, se nemohou připojit.

Vysoké

Tato úroveň šifruje data odesílaná z klienta na server a ze serveru do klienta a používá k tomu 128bitové šifrování. Tuto úroveň použijte v případě, že je server Hostitel relací VP spuštěn v prostředí obsahujícím pouze 128bitové klienty (například klienti Připojení ke vzdálené ploše). Klienti, kteří nepodporují tuto úroveň šifrování, se nebudou moci připojit.

Kompatibilní s klientem

Jedná se o výchozí nastavení.

Tato úroveň šifruje data odesílaná mezi klientem a serverem a používá k tomu maximální délku klíče, která je podporována klientem. Tuto úroveň použijte v případě, že server Hostitel relací VP běží v prostředí obsahujícím smíšené klienty nebo klienty starší verze.

Nízké

Tato úroveň šifruje data odesílaná z klienta na server a používá k tomu 56bitové šifrování. Data odeslaná ze serveru do klienta nejsou šifrována.

Následujícím postupem nakonfigurujete nastavení ověřování a šifrování serveru pro připojení na serveru Hostitel relací VP.

Tento postup mohou provést pouze členové místní skupiny Administrators na hostitelském serveru relací VP, který chcete nakonfigurovat, nebo uživatelé s ekvivalentními oprávněními. Na adrese https://go.microsoft.com/fwlink/?LinkId=83477 zkontrolujte podrobnosti o používání příslušných účtů a členství ve skupině.

Konfigurace nastavení ověřování a šifrování serveru pro připojení
  1. Na hostitelském serveru relací VP spusťte nástroj Konfigurace hostitele relací vzdálené plochy. Chcete-li spustit nástroj Konfigurace hostitele relací vzdálené plochy, klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu, přejděte na položku Vzdálená plocha a potom klikněte na položku Konfigurace hostitele relací vzdálené plochy.

  2. V části Připojení klikněte pravým tlačítkem myši na název připojení a potom klikněte na příkaz Vlastnosti.

  3. V dialogovém okně Vlastnosti pro dané připojení vyberte na kartě Obecné nastavení pro ověřování a šifrování serveru vhodné pro dané prostředí, a to na základě požadavků na zabezpečení a úrovně zabezpečení, které klientské počítače podporují.

  4. Pokud vyberete možnost SSL (TLS 1.0), vyberte certifikát, který je nainstalován na serveru Hostitel relací VP, nebo kliknutím na možnost Výchozí vygenerujte certifikát podepsaný svým držitelem. Pokud používáte certifikát podepsaný svým držitelem, bude mít certifikát název Generováno automaticky.

  5. Klikněte na tlačítko OK.

Nastavení ověřování a šifrování serveru můžete také nakonfigurovat použitím následujícího nastavení zásad skupiny:

  • Nastavit úroveň šifrování klienta

  • Vyžadovat použití určité vrstvy zabezpečení pro připojení vzdálené plochy

  • Šablona certifikátu ověření serveru

  • Vyžadovat pro vzdálená připojení ověření uživatele pomocí ověřování na úrovni sítě

Tato nastavení zásad skupiny naleznete zde: Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Služba Vzdálená plocha\Hostitel relací vzdálené plochy\Zabezpečení. Lze je nakonfigurovat pomocí Editoru místních zásad skupiny nebo Konzoly pro správu zásad skupiny (GPMC). Poznámka: Tato nastavení zásad skupiny budou mít přednost před nastavením nakonfigurovaným v nástroji Konfigurace hostitele relací vzdálené plochy s výjimkou nastavení zásad Šablona certifikátu ověření serveru.

Server Hostitel relací VP můžete nakonfigurovat tak, aby jako úroveň šifrování používal metodu FIPS, a to použitím nastavení zásad skupiny Kryptografický modul systému: Pro šifrování, algoritmus hash a podepisování používat algoritmus kompatibilní s FIPS. Toto nastavení zásad skupiny naleznete zde: Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení. Lze je nakonfigurovat pomocí Editoru místních zásad skupiny nebo Konzoly pro správu zásad skupiny (GPMC). Poznámka: Toto nastavení zásad skupiny bude mít přednost před nastavením nakonfigurovaným v nástroji Konfigurace hostitele relací vzdálené plochy a má přednost před nastavením zásad skupiny Nastavit úroveň šifrování klienta.

Další informace o nastavení zásad skupiny pro Vzdálenou plochu naleznete v technických odkazech pro Vzdálenou plochu (https://go.microsoft.com/fwlink/?LinkId=138134 (Stránka může být v angličtině.)).


Obsah